После регистрации точки доступа на WLC все настройки должны выполняться исключительно через контроллер. Внесение изменений напрямую через веб-интерфейс или CLI точки доступа запрещено, так как это может привести к нестабильной работе или невозможности внесения изменений в конфигурацию точки доступа через WLC.
Настройка авторизации PSK
PSK
wlc-30(config)# wlc wlc-30(config-wlc)# ssid-profile Test_PSK wlc-30(config-wlc-ssid-profile)# description test_psk wlc-30(config-wlc-ssid-profile)# ssid Test_PSK wlc-30(config-wlc-ssid-profile)# vlan-id 115 wlc-30(config-wlc-ssid-profile)# security-mode WPA2 wlc-30(config-wlc-ssid-profile)# key-wpa ascii-text password1! wlc-30(config-wlc-ssid-profile)# band 2g wlc-30(config-wlc-ssid-profile)# band 5g wlc-30(config-wlc-ssid-profile)# 802.11r wlc-30(config-wlc-ssid-profile)# minimal-signal -83 wlc-30(config-wlc-ssid-profile)# roaming-signal -78 wlc-30(config-wlc-ssid-profile)# check-signal-enable wlc-30(config-wlc-ssid-profile)# enable wlc-30(config-wlc-ssid-profile)# exit wlc-30(config-wlc)# ap-location default-location wlc-30(config-wlc-ap-location)# ssid-profile Test_PSK wlc-30(config-wlc-ap-location)# exit
Описание команд
#переходим в настройки WLC #создаём профиль для конфигурации SSID #прописываем краткое описание профиля #указываем название беспроводной сети #VLAN ID – номер VLAN для передачи пользовательского трафика #режим безопасности для подключения к беспроводной сети #указываем пароль к сети WI-FI #указываем хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц #включаем протокол роуминга 802.11r (если это необходимо) #При достижении минимального уровня сигнала (Minimal signal) -83, точка доступа принудительно отключит клиентское устройство. #Параметр активирует работу roaming-signal,при достижении значения -78 ТД на запрос от клиента «Probe Request» отвечать не будет #активируем настройки minimal и roaming signal #активируем профиль SSID #переходим в настройки ap-location #добавляем созданный ssid-profile в ap-location.
Проверка
wlc-30# show wlc clients MAC User IP User MAC AP Hostname AP SSID Band RSSI AP-Location Username ----------------- --------------- ----------------- ------------------------------ --------------- -------- ------- ----------------- ----------------- 5e:5f:7f:21:12:9e 192.168.2.5 68:13:e2:c2:e7:d0 WEP-30L Test_PSK 5g -45 -36 default-location --
Enterprise-авторизация
Enterprise
wlc-30(config-wlc)# ssid-profile testEnterprise wlc-30(config-wlc-ssid-profile)# description Enterprise wlc-30(config-wlc-ssid-profile)# ssid TestEnterprise wlc-30(config-wlc-ssid-profile)# vlan-id 115 wlc-30(config-wlc-ssid-profile)# security-mode WPA2_1X wlc-30(config-wlc-ssid-profile)# radius-profile default-radius wlc-30(config-wlc-ssid-profile)# band 5g wlc-30(config-wlc-ssid-profile)# 802.11r wlc-30(config-wlc-ssid-profile)# minimal-signal -83 wlc-30(config-wlc-ssid-profile)# roaming-signal -78 wlc-30(config-wlc-ssid-profile)# enable wlc-30(config-wlc-ssid-profile)# exit wlc-30(config-wlc)# ap-location default-location wlc-30(config-wlc-ap-location)# ssid-profile testEnterprise
Описание команд
#создаём профиль для конфигурации SSID #прописываем краткое описание профиля #указываем название беспроводной сети #VLAN ID – номер VLAN для передачи пользовательского трафика #Security mode – режим безопасности доступа к беспроводной сети. Для Enterprise-авторизации выбираем режим WPA2_1X #указываем профиль настроек RADIUS-сервера, который будет использоваться для авторизации пользователей Wi-Fi #указываем хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц #включаем протокол роуминга 802.11r (если это необходимо) #При достижении минимального уровня сигнала (Minimal signal) -83, точка доступа принудительно отключит клиентское устройство #Параметр активирует работу roaming-signal,при достижении значения -78 ТД на запрос от клиента «Probe Request» отвечать не будет #активируем профиль SSID #переходим в настройки ap-location #добавляем созданный ssid-profile в ap-location.
Проверка
wlc-30# show wlc clients
MAC User IP User MAC AP Hostname AP SSID Band RSSI AP-Location Username
----------------- --------------- ----------------- ------------------------------ --------------- -------- ------- ----------------- -----------------
1e:ea:99:b6:24:41 192.168.2.6 68:13:e2:c2:e7:d0 WEP-30L TestEnterprise 5g -43 -39 default-location name1
Портальная авторизация
Встроенного портала на аппаратном контроллере нет, поэтому рассмотрим настройку портальной авторизации через RADIUS.
Создайте белый список URL, который может содержать URL и/или регулярные выражения RegExp. Доступ к указанным адресам будет разрешён до авторизации.
White list
wlc(config)# object-group url white_url #создаём object-group по url wlc(config-object-group-url)# url eltex-co.ru #указываем url страницы, который будет разрешён wlc(config-object-group-url)# regexp '(.+\.)eltex-co\.com' #указываем regexp wlc(config-object-group-url)# exit
Создайте белый список IP-адресов, доступ к которым будет разрешён до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.
White list IP
wlc(config)# object-group network white_ip #создаём object-group по url wlc(config-object-group-network)# ip prefix 192.168.0.0/24 #указываем пул разрешённых IP wlc(config-object-group-network)# exit
Создайте portal-profile, где будут указаны все необходимы параметры для перенаправления клиента на внешний портал.
Portal-profile
wlc(config-wlc)# portal-profile portal-pr #создаём профиль портала wlc(config-wlc-portal-profile)# redirect-url https://eltex-co.ru #указываем адрес, на который будет перенаправляться подключающийся клиент wlc(config-wlc-portal-profile)# age-timeout 10 #временной интервал, в течение которого точка доступа "помнит" клиента и не проводит MAB-авторизацию. Время в секундах wlc(config-wlc-portal-profile)# verification-mode external-portal #указываем режим работы портала. external-portal - внешний портал wlc(config-wlc-portal-profile)# white-list domain white_url #указываем созданные ранее белые списки URL, IP-адресов wlc(config-wlc-portal-profile)# white-list address white_ip wlc(config-wlc-portal-profile)# exit
Создайте radius-profile.
RADIUS-profile
wlc(config)# wlc wlc(config-wlc)# radius-profile portal_radius #создаём radius-profile wlc(config-wlc-radius-profile)#auth-address 192.168.4.5 #указываем ip address RADIUS-сервера, который будет указываться для аутентификации пользователей wlc(config-wlc-radius-profile)#auth-password ascii-text encrypted 92BB3C7EB50C5AFE80 #устанавливаем пароль для связи с Radius-сервером. Можно (но не рекомендуется) указать в незашифрованном виде wlc(config-wlc-radius-profile)#auth-acct-id-send #включаем отправку идентификатора аутентификации и учета на RADIUS-сервер (это позволит ему различать сессии и правильно отследить их активность) wlc(config-wlc-radius-profile)#acct-enable #включаем аккаунтинг пользователей wlc(config-wlc-radius-profile)#acct-address 192.168.4.5 #указываем ip address RADIUS-сервера для ведения аккаунтинга wlc(config-wlc-radius-profile)#acct-password ascii-text encrypted 92BB3C7EB50C5AFE80 #устанавливаем пароль для RADIUS-сервера для ведения аккаунтинга wlc(config-wlc-radius-profile)#acct-periodic #активируем периодическую отправку информации о сессиях подключенных клиентов wlc(config-wlc-radius-profile)#acct-interval 300 #указываем интервал отправки информации wlc(config-wlc-radius-profile)# exit
Создайте ssid-profile.
SSID-profile.
wlc(config)#wlc wlc(config-wlc)#ssid-profile portal_test #создаём профиль для конфигурации SSID wlc(config-wlc-ssid-profile)#ssid portal_test #указываем название SSID wlc(config-wlc-ssid-profile)#radius-profile portal_radius #указываем профиль RADIUS-сервера, указанный выше. Он будет использоваться для авторизации пользователей Wi-Fi wlc(config-wlc-ssid-profile)#portal-enable #включаем Captive Portal wlc(config-wlc-ssid-profile)#portal-profile portal-pr #указываем настроенный ранее portal-profile wlc(config-wlc-ssid-profile)#vlan-id 115 #VLAN ID – номер VLAN для передачи пользовательского трафика wlc(config-wlc-ssid-profile)#band 5g #указываем хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц wlc(config-wlc-ssid-profile)#enable #активируем профиль SSID wlc(config-wlc-ssid-profile)# exit
Добавьте ssid-profile в ap-location.
Локация — группа точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые, в общем случае, будут конфигурироваться по одним и тем же правилам (профилям). Локация для точки (ap-location) определяется при подключении точки к контроллеру в зависимости от адресного пространства.
AP-location
wlc(config)#wlc wlc(config-wlc)# ap-location default-location #переходим в настройки локации wlc(config-wlc-ap-location)#ssid-profile portal_test #указываем, что SSID в профиле portal_test относятся к данной локации wlc-30(config-wlc-ap-location)# mode tunnel #указывается в случае, если требуется туннелирование трафика wlc(config-wlc-ap-location)# end
Если есть необходимость с части SSID трафик выпускать локально, то в настройках SSID-profile необходимо указать режим:
local-switching → wlc(config-wlc-ssid-profile)# local-switching
В этом случае весь трафик локации туннелируется, за исключением SSID c указанным режимом.
В приведенном выше примере показана часть настройки ap-location. Более подробно процесс создания и настройки локации описан в руководстве WLC.
Все внесённые изменения в конфигурации необходимо записать в постоянную память устройства.
wlc-30# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. #изменения сохранены и запущен таймер
wlc-30# confirm
Configuration has been confirmed. Commit timer canceled. #изменения подтверждены и применены